Esta página se ha traducido con Cloud Translation API.

Investigar una dirección IP

Disponible en:

SecOps de Google SIEM

Google Security Operations te permite investigar direcciones IP específicas para determinar si alguna está presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos. La vista Dirección IP de Google SecOps se deriva de la misma información y datos de seguridad que se reenvían desde tu empresa y se puede examinar mediante la vista Recursos. Asegúrate de que estás ingiriendo y normalizando datos de los dispositivos de tu red, como EDR, cortafuegos, proxy web, etc.

En la vista Recursos, puedes iniciar una investigación desde tu empresa y buscar información externa. En la vista Dirección IP, empiezas la investigación desde fuera de tu empresa y buscas información.

Para acceder a la vista Dirección IP en Google SecOps, sigue estos pasos:

En la página de destino de Google SecOps, introduce la dirección IP en la barra de búsqueda. Haz clic en Buscar.
Haz clic en la dirección IP de los resultados para abrir la vista Dirección IP.

Contexto de dirección IP

Vista de dirección IP

1 Prevalencia

Google SecOps proporciona una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se ha accedido a la dirección IP desde la empresa anteriormente y puede indicar si la dirección IP está asociada a una campaña concreta dirigida a la empresa.

Por lo general, las direcciones IP menos frecuentes, es decir, aquellas a las que se han conectado menos recursos, pueden representar una mayor amenaza para tu empresa. A diferencia del gráfico Prevalencia de la vista de recursos, en este gráfico se muestra un acceso de alta prevalencia en la parte superior y un acceso de baja prevalencia en la parte inferior.

Cuando mantienes el puntero sobre una barra del gráfico Prevalencia, se muestran los recursos que han accedido a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se mostrará ninguno.

2 Control deslizante del gráfico de prevalencia

Ajusta el control deslizante para centrarte en los eventos vinculados a un intervalo de fechas específico, tal como se muestra en el gráfico de prevalencia.

3 estadísticas de direcciones IP

Las estadísticas de direcciones IP te proporcionan más contexto sobre la dirección IP que estás investigando. Puedes usarlas para determinar si una dirección IP es benigna o maliciosa. También te permiten investigar más a fondo un indicador para determinar si hay una brecha de seguridad más amplia.

Lista de reputación de inteligencia de amenazas emergentes (ET): comprueba la lista de reputación de inteligencia de amenazas emergentes de ProofPoint. Listas de amenazas conocidas vinculadas a direcciones IP y dominios específicos.
Inteligencia frente a amenazas de ESET: comprueba el servicio de inteligencia frente a amenazas de ESET.

4 Contexto de VT

Haz clic en Contexto de VT para ver la información de VirusTotal disponible sobre esta dirección IP.

Cuestiones importantes

La vista de dirección IP tiene las siguientes limitaciones:

Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista solo se rellenan los tipos de eventos DNS, EDR y Webproxy. La información sobre la primera y la última vez que se ha visto que se muestra en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en los registros sin procesar y en las búsquedas de UDM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.